信息安全事件管理规范.doc

信息安全管理部 信息安全事件管理规范 V1.0 Last Revised Time 12/18/2024 Last Revised By XXX ATA confidential 文档信息： 文档名称: 信息安全事件管理规范 描述: 作者: XXX 稳定级别: 低 注释: 文档修改历史: Date Reviser Chapter Description 2008-7- 建立 评审人员： Reviewer Signature XXX 信息安全事件管理规范 XXXX年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应，启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复； 2．0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3．0 相关角色和职责 l 信息安全总监：负责制定《信息安全事件管理规范》，并督促制度的落实和执行； l 信息安全部经理： n 负责《信息安全事件管理规范》中各项流程制度的日常督促执行； n 负责对各类信息安全事件进行第一时间响应，区分信息安全事件的类别及后续处理流程； n 负责跟踪各类信息安全事件的后续处理，确保公司能从中汲取教训，不再发生类似问题； l 信息安全事件发起人：在具体工作中发现异常后应及时上报，并协助完成后续处理工作。 4．0 信息资产 信息安全管理部负责以下信息资产的安全运行： l 机房环境、硬件设备正常运行： n XX互联IDC机房； n 北京办公室IT机房； n 上海办公室IT机房； n 机房内的所有硬件设备，包括网络设备、服务器和其它设备； l 办公室网络环境正常运行 n XX互联IDC机房内网/外网环境； n 北京办公室内网/外网环境； n 上海办公室内网/外网环境； l 机房内系统工作正常； n 服务器操作系统工作正常 n 应用系统工作正常 l 机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。 5．0 信息安全事件分级、分类 对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5．1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素，对信息安全事件分为以下几个级别： 1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目考中异常等； 2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的网站异常造成客户投拆等； 3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如在日常维护工作中发现的各类异常事件等； 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释： l 常规工作：指影响超出单点范围，可能/己经造成了部门/小组级的工作异常，但未造成实质性损害的信息事件； 5．2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为： l 环境灾害： n 自然/人为灾害：水灾、火灾、地震、恐怖袭击、战争等； n 外围保障设施故障： u 机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导致的信息安全事件 u 外围网络故障：由于外围网络传输信道出现故障而导致业务系统无法对外正常服务 u 其它外围保障设施故障：例如拖管机房的DNA服务器、CA服务器故障等； l 常规事故： n 软硬件自身故障： u 软件自身故障：由于软件设计存在漏洞或软件系统运行环境发生变化等原因而导致软件运行不正常的信息安全事件 u 硬件自身故障：由于硬件设计不合理、硬件自然老化失效等原因引起硬件设备故障而导致信息系统不能正常运行的信息安全事件 n 无意事故： u 硬件设备、软件遗失；与业务系统正常运行和使用相关的硬件设备和软件遗失而导致的信息安全事件 u 数据遗失：系统中的重要数据遗失 u 误操作破坏硬件； u 误操作破坏软件； u 误操作破坏数据； u 其它无意事故； n 有意事故： u 硬件窃取：计算机系统、计算机部件、网络设备、信息安全设备等硬件设备被窃取； u 软件窃取；软件存储介质被非法复制或窃取 u 数据窃取；重要数据或重要数据存储介质被非法复制 u 故意破坏硬件设备：由于人为蓄意破坏造成硬件设备物理损坏 u 故意破坏软件：通过非法删除、篡改等方式蓄意破坏支撑信息系统正常运行的操作系统、数据库系统、应用业务系统等相关软件系统，导致业务系统无法正常运行； u 故意破坏数据：系统中的重要数据被非法修改或删除 u 其它有意事故 n 内容异常 u 网页被篡改成异常信息； u 通过网页传播异常信息； n 网络或系统异常 u 计算机病毒 u 间接攻击：例如网络监听、口令攻击、扫描探测、网络社交攻击等 u 直接攻击：拒绝服务攻击、漏洞攻击、后门攻击等 6．0 信息安全事件处理 6．1 信息安全事件处理流程图 6．2 信息安全事件处理流程描述 信息安全事件的处理分为发起、检测、处理、评审四个阶段。 6．2．1信息安全事件的发起 信息安全事件主要有以下两种发起方式 1. 公司员工在正常工作中发现有异常情况，需要IT协助解决时： 1） 公司员工以邮件形式向IT人员提出对信息事件进行处理； 2） 邮件标题：XXX； 3） 邮件内容： u 说明异常现象； u 说明可能受影响的业务范围； 4） 邮件发送IT相关人员，抄送信息安全部经理 2. IT人员在日常维护工作中，发现有异常情况需要进行处理时，应上报信息事件情况： 1） 邮件标题：信息事件上报-XXX； 2） 邮件内容： a) 事件基本现象描述； i. 事件发生的日期和时间； ii. 事件发现的日期和时间； iii. 事件发起人的姓名和所属部门； iv. 事件涉及到的部门和相关人员； v. 事件的现象描述； b) 事件可能造成的业务影响； c) 初步检测、排查结果； 3） 邮件发送信息安全部经理，抄送信息安全总监； 6．2．2信息安全事件的检测 IT人员在： l 收到业务人员的处理申请邮件，或 l 在日常维护工作中，发现有异常情况需要进行处理时 应该对： 1) 事件发生的情况进行了解，确认相关情况； 2) 对事件可能造成的业务影响范围进行沟通、确认； 3) 对事件可能的原因进行基本检测、排查； 如果该事件属于“常规工作”，应该： 1） 直接处理； 2） 将处理意见邮件回复发起人，抄送：信息安全部经理； 3） 邮件标题加注：常规工作-XXX 如果该事件属于信息安全事件范畴，可能或己经对业务造成影响，应将业务人员的“信息安全事件发起邮件”转发给信息安全部经理，向上汇报： 1） 邮件标题更改为：信息事件上报-XXX； 2） 邮件内容： l 事件基本现象描述； i. 事件发生的日期和时间； ii. 事件发现的日期和时间； iii. 事件发起人的姓名和所属部门； iv. 事件涉及到的部门和相关人员； v. 事件的现象描述； l 事件可能造成的业务影响； l 初步检测、排查结果； 3） 邮件发送信息安全部经理，抄送信息安全总监； 6．2．3信息安全事件的处理 信息安全部经理收到信息事件报告后，应： 1） 了解事件相关情况； 2） 根据本规范<5.0>中的规定，对信息事件进行分级、分类。 对于1级的信息安全事件，信息安全部经理应该： 1） 第一时间上报管理层、信息安全总监； 2） 以邮件通知管理层<信息安全事件>的发生； 3） 邮件标题：信息事件1级-XXX； 4） 邮件内容： a) 事件细化的现象描述； b) 事件己造成/可能造成的业务影响； c) 事件己确认的/可能的原因说明； 管理层收到1级信息安全事件报告后，应该： 5） 负责协调公司内相关资源进行事件处理，将处理方案通告各相关部门，并督促执行； 6） 事件处理结束后，组织公司内部各部门进行事件评审； 7） 评审结束后，责成信息安全部总监编写《信息安全事件报告》，以邮件形式： a) 邮件标题：信息事件报告-XXX b) 邮件发送：事件发起人和相关人员、管理层； c) 邮件附件：《信息事件报告》 对于2级的信息安全事件，信息安全部经理应该： 1） 第一时间上报信息安全总监； 2） 以邮件通知相关部门中心经理<信息安全事件>的发生； 3） 邮件标题：信息事件2级-XXX； 4） 邮件内容： a) 事件细化的现象描述； b) 事件己造成/可能造成的业务影响； c) 事件己确认的/可能的原因说明； 信息安全总监收到2级信息安全事件报告后，应该： 5） 负责协调各部门资源进行事件处理，将处理方案通告各相关部门，并督促执行； 6） 事件处理结束后，组织各部门相关人员进行事件评审； 7） 评审结束后，责成信息安全部经理编写《信息安全事件报告》，以邮件形式： a) 邮件标题：信息事件报告-XXX b) 邮件发送：事件发起人和相关人员、各相关部门中心经理、信息安全总监；抄送管理层； c) 邮件附件：《信息事件报告》 对于3级的信息安全事件，信息安全部经理应该： 1） 以邮件通知部门内部相关人员<信息安全事件>的发生； a) 邮件标题：信息事件3级-XXX； b) 邮件内容： i. 事件细化的现象描述； ii. 事件己造成/可能造成的业务影响； iii. 事件己确认的/可能的原因说明； iv. 解决方案和人员分工安排； c) 邮件发送部门内部相关人员，抄送信息安全总监； 2） 协调部门内部资源进行事件处理； 3） 事件处理结束后，组织IT人员和事件发起人及其它相关人员进行事件评审； 4） 评审结束后，责成IT人员编写《信息安全事件报告》，以邮件形式： a) 邮件标题：信息事件报告-XXX b) 邮件发送：事件发起人、信息安全部经理；抄送信息安全总监； c) 邮件附件：《信息事件报告》 6．3 信息安全事件报告 《信息安全事件报告》对于组织的信息安全是非常重要的，在每次信息安全事件处理结束后，应该对信息安全事件的起因、处理等进行评审，以确定有哪些经验教训需要汲取以及组织的整体安全和信息安全事件管理方案有哪些地方需要改进，填写完整的报告后留档备查。 《信息安全事件报告》格式参见附件一。 6．4 信息安全事件定期评估 信息安全经理应该每季度对本季度发生的各项信息安全事件进行评估： 1） 分析组织内部存在哪些威胁和脆弱性，提出改进的建议和意见； 2） 对信息安全事件处理的后续工作进行跟踪，确保《信息安全事件报告》中提到的后续工作的具体落实。 3） 评估工作应形成《信息安全事件定期评估报告-XX年XX季度》，该报告提交信息安全总监审核后向管理层汇报。 《信息安全事件定期评估报告-XX年XX季度》格式参见附件二。 附件一、《信息安全事件报告》 信息安全事件名称 事件发生日期时间 事件发现日期时间 事件上报日期时间 处理结束日期时间 事件发起人姓名 所属部门 报告编制人姓名 报告编制日期 评审人员姓名 事件级别 IT受理人姓名 事件大类 事件子类 现象描述 业务影响 事件责任人 所属部门 调查结论 处理意见 解决方案 己完成工作 后续工作 附件二、《信息安全事件定期评估报告-XX年XX季度》 报告编制人姓名 报告编制日期 信息安全事件分级统计 1级事件个数 2级事件个数 3级事件个数 一般性事件个数 信息安全事件分类统计 外围设施故障 软硬件自身故障 无意事故 有意事故 内容异常 网络/系统异常 风险分析 改见意见 事件后续工作完成情况评估